ISO 27001, angegeben von dem Unternehmen, dem es gehört

Was genau ist das ISO 27001-zertifizierte Informationssicherheits-Managementsystem und welche Standards müssen erfüllt sein, um es zu erhalten? Bringt es dem Informationsmarkt wirklich einen echten Wert und warum messen die größten Finanzinstitute wie Banken ihm so viel Bedeutung bei?

(Transparente Daten) (6. November 2020)

Standard des ISO 27001-Informationssicherheits-Managementsystems

Genießen Sie das Transparente Daten Beim vierten ISO 27001-Audit in Folge enthüllen wir einige wichtige und kleinere Geheimnisse dieser internationalen Norm:

  • Was ist ISO / IEC 27001 und wer hat es eingerichtet?
  • Warum soll es den Wert auf den Informationsmarkt bringen
  • Warum es sich lohnt, ob das Unternehmen, das uns Daten zur Verfügung stellt oder unsere Daten verarbeitet, über diese verfügt
  • TOP ISO 27001 Q & A für com Unternehmen, die sich fragen, ob sie es bekommen sollen (unter anderem, was der schwierigste Teil des gesamten Zertifizierungsprozesses ist)
  • 4 Schlüsselschritte des gesamten Prozesses zur Beantragung einer ISO 27001 Zertifikat .

Was genau ist das ISO / IEC 27001-zertifizierte Informationssicherheits-Managementsystem?

Im Allgemeinen Das Informationssicherheits-Managementsystem (ISMS), das der internationalen Norm ISO / IEC 27001 entspricht, ist ein Regelwerk, das die Einführung und Verbesserung eines unabhängig bewerteten Risikoidentifizierungssystems und eines präzisen Sicherheitssystems in einem Unternehmen in allen Tätigkeitsbereichen definiert

Dieses internationale, weltweit anerkannte Zertifikat und die Anforderungen für dessen Erlangung wurden von der Internationalen Organisation für Normung (ISO) festgelegt ist derzeit die weltweit größte Nichtregierungsorganisation, die Geschäftsstandards festlegt, und die International Electrotechnical Commission (IEC), die bekannteste globale Organisation zur Entwicklung von Technologiestandards. Die von diesen Gremien ausgearbeiteten Normen bilden die Grundlage für nationale Normen und die Referenz für internationale Verträge und Ausschreibungen.

Die Einhaltung der Norm ISO / IEC 27001 ist die höchste Schutz aller geschäftlichen und vertraulichen Daten und damit Minimierung des Risikos eines unbefugten Zugriffs auf diese.

Der Erhalt dieses Zertifikats gehört zu den größten Unternehmen weltweit Markt. Dies ist eine besondere Unterscheidung, da es immer noch wenige Unternehmen gibt, die sich mit der Bereitstellung von Wirtschafts- und Geschäftsinformationen oder der Implementierung von Tools zur Unterstützung der Analyse von Informationen für Unternehmen befassen, die sich rühmen können, diesen Standard zu erfüllen.

Welchen Wert hat dies? ISO 27001 auf den Informationsmarkt bringen?

Wenn wir darüber nachdenken, unser eigenes Geschäft mit externen Geschäftsinformationen zu unterstützen, berücksichtigen wir in erster Linie dessen Aktualität und Glaubwürdigkeit. Niemand braucht veraltete Informationen, da es eine neuere, geänderte Version davon gibt. Vermutungen, Meinungen und unzuverlässige Daten sind nichts, worauf wir unsere Entscheidungen stützen möchten.

Wenn wir das Verfahren zum Kauf von Unternehmensinformationen sorgfältig prüfen, werden wir dies tun schnell zu einer weiteren Schlussfolgerung kommen – es ist nicht nur wichtig, was wir kaufen, sondern auch von wem. Wie Informationen gespeichert werden, wer Zugriff darauf hat und wie sie geschützt sind unerwünschte Leckage ist ebenso wichtig. Erinnern wir uns zum Beispiel an den diesjährigen hochkarätigen Datenverstoß gegen personenbezogene Daten der Kunden von Zoom.

Sagen wir es noch einmal:

von wem wir Informationen kaufen.

Dies ist einer der Gründe, warum die mächtigsten Institute wie Banken beschließen, nur mit Unternehmen zusammenzuarbeiten, die nach der Norm ISO / IEC 27001 zertifiziert sind.

ISO 27001 von die Perspektive des Unternehmens, das es hat: TOP Q & A

Was bedeutet es in der Praxis, eine ISO / IEC 27001-Zertifizierung zu erhalten? Wie wirkt es sich auf den Geschäftsbetrieb aus?

Der Prozess der Einhaltung des Standards bringt einen erheblichen Mehrwert für die internen Prozesse des Unternehmens, seine Mission und Ziele – er ermöglicht die Organisation der angewandten Praktiken und unterstützt die Entwicklung von guten Gewohnheiten, sich um die Informationssicherheit der Mitarbeiter des Unternehmens auf allen Ebenen zu kümmern.

Als einziger solcher Standard kann auch überprüft werden, ob die vom Unternehmen angenommenen Lösungen wirklich auf höchstem Niveau stehen oder ob das Sicherheitssystem verbessert werden sollte. Dieses Wissen ist für ein entwicklungsorientiertes Unternehmen immer wertvoll.

Extern öffnet die Erlangung von ISO 27001 jedoch die Tür zur Zusammenarbeit mit den anspruchsvollsten Kunden wie Banken oder globalen Unternehmen. Mit anderen Worten, es wirkt sich positiv auf das Wachstum des Kundenvertrauens und die Glaubwürdigkeit des Unternehmens auf dem Markt aus.

Wenn der Wert der Norm ISO 27001 zur Steigerung des Kundenvertrauens und der Glaubwürdigkeit des Unternehmens beiträgt, warum dann? So wenig Unternehmen, die Informationen bereitstellen, beantragen dieses Zertifikat nicht?

Das Verfahren zur Erlangung der ISO / IEC 27001 ist langwierig, kompliziert und erfordert, dass das Unternehmen sehr genaue Anforderungen hinsichtlich des Risikoidentifizierungssystems und der wirtschaftlichen Sicherheit erfüllt. geschäftliche und vertrauliche Informationen. Ein zertifiziertes Informationssicherheits-Managementsystem ist in der Regel mit einer monatelangen Vorbereitung und Schulung verbunden. Aus diesem Grund glauben die meisten Unternehmen, dass es nur den größten Akteuren mit erheblichem Kapital und Hunderten von Mitarbeitern zur Verfügung steht.

Ob klein und klein Mittelständische Unternehmen können auch eine ISO 27001-Zertifizierung erhalten?

Ja, und das wissen wir aus eigener Erfahrung. In Transparent Data haben wir nicht Hunderte von Mitarbeitern, und dennoch haben wir es geschafft, das Stereotyp zu brechen, dass Größe wichtig ist. Wir sind ein relativ kleines Daten-Softwarehaus, aber im Gegenzug sind wir sehr agil und schnell. Trotz der gestiegenen Anzahl von Verpflichtungen, die uns zusammen mit der Vorbereitung auf das Zertifizierungsaudit auferlegt wurden, haben wir das gesamte Verfahren reibungslos durchlaufen. P. >

Wie lange ist die ISO 27001-Zertifizierung gültig?

Standard 3 Jahre, aber mindestens einmal im Jahr kommt die Zertifizierungsstelle zum Unternehmen, um sowohl die Einhaltung der ISO 27001-Standards als auch die Überprüfung des Unternehmens zu überprüfen bemüht sich wirklich, die Systeme zu verbessern. Im Gegensatz zu den meisten anderen Standards ist dieser daher einzigartig. Die Arbeit endet nicht damit, sie zu erhalten. Sie müssen immer noch darauf vorbereitet sein, es zu behalten.

Ist es schwierig, die internationalen Sicherheitsstandards für das Informationsmanagement zu erfüllen? Bezieht sich ISO 27001 auf die Implementierung komplizierter Verfahren?

Wenn Sie ein Unternehmen sind, das seit vielen Jahren auf dem Markt tätig ist und große, anspruchsvolle Kunden in seinem Portfolio hat, sind dies die meisten Sicherheitsverfahren bereits in der Praxis, und wenn nicht, wird ihre Implementierung Ihnen nicht viel Ärger bereiten. Zumindest war das unser Fall. Als Datenanbieter mussten wir unsere Verfahren mehr als ein- oder zweimal verbessern, um die sehr hohen Sicherheitsanforderungen von Finanzinstituten zu erfüllen, lange bevor wir mit der ISO / IEC 27001-Zertifizierung fortfuhren. Deshalb war die Implementierung für uns nicht besonders schwierig.

Die gesamte Erfahrung hat sich jedoch aus Sicht der Organisationskultur als sehr wertvoll erwiesen – wir haben bereits viele Dinge vor ISO 27001 getan, aber nur Als wir sie in Form von Anforderungen geschrieben sahen, wurde uns klar, warum wir das tun. Als Organisation haben wir definitiv davon profitiert.

Was ist der schwierigste Teil des gesamten ISO 27001-Zertifizierungsprozesses?

Wir sollten wahrscheinlich nicht laut darüber sprechen, aber Lassen Sie uns transparent sein – der schwierigste Teil ist der formale Teil, dh Stapel von Dokumenten, die darauf warten, ausgefüllt zu werden. Leider sollten Sie einige Wochen für diese Aktivität reservieren und sich daran erinnern, dass jede Änderung im Unternehmen, auch wenn es sich um eine Kleinigkeit handelt Zum Ersetzen eines Computers muss nicht ein zusätzliches Dokument, sondern ein vollständiger Ordner mit Dokumenten ausgefüllt werden.

Gibt es bestimmte Richtlinien, die den Standard für das Informationssicherheitsmanagement definieren?

Das Wichtigste Was entwickelt werden muss, ist das Integrated Management System Book, das den gesamten Umfang der Verpflichtungen definiert, die erfüllt werden müssen, um den ISO-Standard zu erfüllen. Es enthält die gesamte Liste der Verfahren, Anweisungen, Richtlinien, Unternehmensressourcen und Verantwortlichkeitstabellen für das Management.

Als Nächstes haben wir unter anderem die Informationssicherheitsrichtlinie, die den Umfang der Verantwortlichkeiten und Verpflichtungen im Zusammenhang mit der Verarbeitung definiert personenbezogener Daten (z. B. Pflichten des Informationssicherheitsadministrators, des IT-Systemadministrators, des Vertreters für integriertes Systemmanagement und anderer Mitarbeiter des Unternehmens). Außerdem wird beschrieben, welche Arten von Daten wir als Unternehmen verwalten, in welchen Systemen sie verarbeitet werden oder für welche Datensätze wir verantwortlich sind.

Weitere wichtige Richtlinien sind beispielsweise die Business Continuity Management-Richtlinie. Ziel ist es, die Stabilität der Arbeit im Bereich der Informationsverarbeitung zu gewährleisten. Es muss unter anderem Verhaltensszenarien im Falle eines Cyberangriffs, eines Systemausfalls, eines Stromausfalls, von Bränden, Katastrophen, der Abwesenheit wichtiger Mitarbeiter oder des Verlusts von für das Unternehmen wichtigen Vermögenswerten umfassen.

Wie sieht der gesamte Prozess der Beantragung eines ISO 27001-Zertifikats aus?

Der gesamte Prozess der Beantragung eines ISO 27001-Zertifikats kann in vier Hauptschritte unterteilt werden:

  1. Sie müssen zu Beginn eine gründliche -Studie der in ISO 27001 enthaltenen Anforderungen durchführen und anschließend alle Dokumente analysieren, über die das Unternehmen bereits verfügt in Bezug auf diese. Wenn wir Mängel oder Inkonsistenzen feststellen, müssen wir unsere internen Richtlinien an einen internationalen Standard anpassen und neue Dokumente bearbeiten oder erstellen.
  2. Der nächste Schritt besteht darin, alle Mitarbeiter und das gesamte Managementpersonal in den in der Norm ISO / IEC 27001 geltenden Richtlinien zu schulen. Dies erfordert Natürlich die Ernennung geeigneter Personen im Unternehmen, die für das Projekt von A bis Z verantwortlich sind.
  3. Nur können Sie dann mit der Implementierung beginnen die notwendige Sicherheit sy Sie müssen mindestens einige Monate im natürlichen Alltagsumfeld des Unternehmens „arbeiten“. und ob sie wirklich funktionieren, sollte durch eine interne Revision bestätigt werden dass jemand im Unternehmen ein zertifizierter interner Prüfer sein oder die entsprechenden Berechtigungen einholen muss.
  4. Wenn wir die Erstellung aller Unterlagen und Mitarbeiterschulungen bereits abgeschlossen haben und in der Praxis tatsächlich die angegebenen Standards einhalten, Nur dann haben wir grünes Licht, um offizielle Bemühungen zur Erlangung eines Zertifikats zu starten. Wir müssen dann eine Zertifizierungsstelle für externe Managementsysteme finden und für ein unabhängiges externes Audit bereit sein . Erst nach dieser formellen Bewertung erhält das Unternehmen das Zertifikat.

Der tatsächliche Wert von ISO 27001 im Geschäftsleben (Kundenperspektive)

Zur Erläuterung der Bedeutung des 27001 Standard im Bereich Unternehmensdaten können wir Unternehmen vergleichen, die Geschäftsinformationen für Münzstätten bereitstellen. Jedes Unternehmen versorgt den Markt mit Wirtschaftsinformationen, d. H. Gold. Diese bewussteren Unternehmen versuchen, die Sicherheit ihrer Kunden und ihrer eigenen zu erhöhen, indem sie besondere Vorsichtsmaßnahmen treffen, z. B. den Schutz des Konvois oder zusätzliche Sicherheitsschlösser. ISO 27001 in diesem Vergleich ist eine Spezialeinheit und eine 15 mm dicke Kette mit drei Vorhängeschlössern – eines für die Kombination, das andere für den Fingerabdruck und das dritte für das, was Sie gerade zum Frühstück gegessen haben.

Das könnte Ihnen auch gefallen :

(

Das Legacy-Systemproblem – das ABC der technologischen Verschuldung

Legacy-Systeme – dieser Name spiegelt sowohl ihre veraltete als auch ihre problematische Natur perfekt wider. Diese Anwendungen und…

medium.com

) (

Wie gehe ich mit Legacy-Systemen um? Strategien, um aus technologischen Schulden herauszukommen

Ein neues System von Grund auf neu erstellen, Code umgestalten und Code neu schreiben – Dies sind drei Strategien, um aus…

medium.com

) (

Automatisierung des Onboarding von B2B-Kunden mit regulatorischen Daten

So verkürzen Sie den Registrierungsprozess für Geschäftskunden und beschleunigen Sie das Onboarding? Welche Felder der Registrierung…

medium.com

)